Une nouvelle faille pour Oracle Jerome Saiz le 1 mai 2003 à 11h51, dans la rubrique Menaces Commentaires fermés sur Une nouvelle faille pour Oracle failleoracle Les bases de données Oracle sont vulnérables à un nouveau dépassement de mémoire tampon. L’attaque n’est exploitable à distance que si la base de données est directement accessible depuis Internet. Elle demeure en revanche possible depuis le réseau local. Son exploitation exige de posséder un compte sur la base, mais offre alors le contrôle complet du serveur. Ce nouveau dépassement de mémoire tampon concerne les versions 7, 8, 8i et 9i de la base de données « Incassable » (©) d’Oracle.Il n’est exploitable que par un utilisateur qui posséderait déjà un compte sur la base et y aurait accès directement. L’attaque est donc peu probable depuis l’anonymat d’Internet, mais tout à fait possible depuis le réseau local.Le pirate devra cependant aussi avoir les droits CREATE DATABASE LINK, ce qui réduit plus encore la voilure de cette vulnérabilité.Une fois exploitée cependant, cette faille permet d’exécuter n’importe quel code sur le serveur qui héberge la base de données. Considérant les utilisations critiques qui peuvent être faites de tels serveurs sur un réseau interne (données de paie, de comptabilité, stockage de numéros de cartes bancaires…), cela en fait des cibles appétissantes pour tout escroc interne qui se respecte.Oracle a publié les correctifs nécessaires. Nous n’avons découvert à ce jour de programme d’attaque automatisé pour cette faille. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!